W pierwszym wpisie na blogu wskazałem, że RODO dotyczy każdej firmy i nie ma w tym zakresie wyjątków. Nowych przepisów będą musiały przestrzegać zarówno wielkie międzynarodowe korporacje działające na obszarze Unii, jak i mniejsze lokalne firmy, zatrudniające kilkunastu pracowników, a także osoby prowadzące jednoosobową działalność gospodarczą.

Może zadajesz sobie teraz, Czytelniku, pytanie czy RODO może nakładać takie same obowiązki na podmioty, które tak bardzo się od siebie różnią.

Niektóre obowiązki rzeczywiście będą dotyczyć wszystkich firm w jednakowym stopniu, np. udzielanie imiennych upoważnień osobom, które mają zostać dopuszczone do przetwarzania danych osobowych czy dokumentowanie przypadków naruszeń ochrony danych.

RODO nie różnicuje również zakresu uprawnień osoby, której dane dotyczą, w zależności od wielkości firmy, która przetwarza jej dane. Każdemu takiemu uprawnieniu odpowiada zaś adekwatny obowiązek po stronie administratora. Pewne wyłączenia dla małych i średnich firm przewiduje projekt nowej ustawy o ochronie danych osobowych.

Zasadniczo jednak, właściwa dokumentacja i procedury powinny być dostosowane do konkretnych realiów danej firmy, w tym rodzajów danych osobowych, które znajdują się w jej bazach danych, celów i podstaw prawnych ich przetwarzania. Istotne znaczenie będą mieć faktyczne działania realizowane z wykorzystaniem danych osobowych i skala związanego z nimi ryzyka dla ochrony danych.

Bardziej złożona struktura organizacyjna firmy oznacza z reguły większą ilość przetwarzanych danych osobowych. Rozbudowana baza klientów, funkcjonowanie w firmie wielu działów odpowiedzialnych za poszczególne zadania (dział sprzedaży, księgowość, HR itp.) czy duże zatrudnienie, skutkują większym zakresem prac dostosowawczych do RODO. Dodatkowo, jeżeli firma posiada oddziały w kraju lub spółki powiązane za granicą, często dochodzi do przekazywania danych osobowych, w jednym lub obu kierunkach. Wszystkie te procesy należy zidentyfikować i ustalić, czy pod rządami RODO w dalszym ciągu będzie można je realizować na dotychczasowych zasadach.

Nie bez powodu wielu spośród dużych rynkowych graczy, takich jak banki czy ubezpieczyciele, pierwsze przygotowania do wdrożenia RODO rozpoczęło rok temu albo jeszcze wcześniej. Ocenia się, że proces dostosowania się do wymogów rozporządzenia w mniejszych firmach może zająć ok. 3-6 miesięcy. Tymczasem, RODO zacznie obowiązywać już 25 maja 2018 r.

Pierwszym krokiem na drodze do wdrożenia RODO powinno być zidentyfikowanie wszystkich procesów biznesowych w firmie, które są związane z przetwarzaniem danych osobowych, czyli jakimkolwiek dostępem lub działaniami na tych danych.

Dopiero po przeprowadzeniu audytu możliwe jest dokładne ustalenie, jaka dokumentacja i procedury będą właściwe dla danej firmy.